· Fachbeitrag · Rechtsprechung
Datenschutz in der Zahnarztpraxis: Überblick über aktuelle Gerichtsentscheidungen
von Rechtsanwalt Dr. Tim Oehler, Wallenhorst, www.rechtsanwalt-oehler.de
| Die Datenschutz-Grundverordnung (DS-GVO) stellt Zahnärzte wegen der abstrakten Formulierungen immer wieder vor Verständnis- und Umsetzungsschwierigkeiten in der Praxis. Die konkrete Anwendung der DS-GVO auf bestimmte Technologien und ihre Fortentwicklung ist insofern bewusst den nationalen Gerichten überlassen worden. Der folgende Beitrag gibt einen Überblick über aktuelle Urteile zur DS-GVO. |
Recht auf Vergessen gilt bei verlinkten Daten nicht generell
Das OLG Frankfurt hat den ersten „spektakulären Fall“ zur DS-GVO veröffentlicht (Urteil vom 06.09.2018, Az. 16 U 193/17, Revision zugelassen). Hintergrund war die gegen Google Amerika gerichtete Klage des Geschäftsführers eines Regionalverbands mit einem Finanzdefizit von ca. 1 Mio. Euro. Darüber hatte die Presse berichtet ‒ einschließlich der Tatsache, dass der Geschäftsführer während der Schieflage zeitweise aus gesundheitlichen Gründen nicht im Dienst war. Der Kläger wollte, dass Google bei Eingabe seines Namens die Anzeige der Internet-Adressen unterlässt, die zu den Presseberichten führen.
Das OLG Frankfurt lehnte jedoch Ansprüche auf Unterlassen oder Löschen ab, obwohl die entsprechenden Internetseiten sensible Gesundheitsdaten angezeigt hatten. Die Richter verneinten einen Löschungsgrund nach Art. 17 Abs. 1, Abs. 3a DS-GVO: Es habe ein erhebliches öffentliches Interesse an der gesamten Berichterstattung bestanden. Der Fall hier sei auch anders gelagert als in dem Urteil des Europäischen Gerichtshofs (EuGH) zum Recht auf Vergessenwerden gegen den spanischen Google-Ableger (siehe Urteil vom 13.05.2014, Az. C-131/12). Dieses EuGH-Urteil sei vor Geltung der DS-GVO ergangen und könne insofern nur bei Besonderheiten des Einzelfalls, aber nicht ohne Weiteres auf die Rechtslage nach der DS-GVO übertragen werden.
PRAXISTIPP | Grundsätzlich ist zwischen Daten, die immer sensibel sind, und Daten, die nur im Einzelfall sensibel sind, zu unterscheiden. Zur ersteren Gruppe gehören nach der DS-GVO gesundheitsbezogene Informationen, z. B. „Der Patient befindet sich (seit Längerem) in zahnmedizinischer Versorgung.“ oder „Der Patient ist nach zahnmedizinischer Behandlung dienstunfähig.“
Nach Art. 17 Abs. 1 DS-GVO hat der Patient unter bestimmten Voraussetzungen das Recht, dass ihn betreffende personenbezogene Daten unverzüglich gelöscht werden. Da Art. 4 Nr. 2 DS-GVO zwar zwischen Löschen und Vernichten unterscheidet (aber „Löschen“ nicht definiert), gilt nach dem OLG: Ein Löschen setzt nicht zwingend eine Datenvernichtung voraus, sondern besteht grundsätzlich in der Unkenntlichmachung gespeicherter personenbezogener Daten. So wäre z. B. auch das Entfernen von Internet-Adressen aus Google-Treffer-Listen von Art. 17 DS-GVO umfasst ‒ die Websites mit den Informationen selbst blieben aber erhalten. Im vorliegenden Fall hatte der Kläger den Prozess verloren, weil dem Interesse der Öffentlichkeit der Vorrang eingeräumt wurde. |
Praxisinhaber haftet für Facebook-Fanpage mit
Zur Einhaltung des Datenschutzes bei einer Facebook-Fanpage hat der Europäische Gerichtshof entschieden (Urteil vom 05.06.2018, Az. C-210/16): Der Fanpage-Betreiber kann die Kriterien festlegen, nach denen Statistiken über die Besuche auf seiner Fanpage erstellt werden. So erhält er Profile über die Besucher seiner Seite. Erst durch den Betrieb der Fanpage kann Facebook überhaupt die Personendaten beziehen und die Statistiken erstellen. Der EuGH sieht deshalb sowohl den Betreiber der Fanpage als auch Facebook als „gemeinsame Verantwortliche“ i. S. v. Art. 26 DS-GVO.
PRAXISTIPP | Ein Zahnarzt als Fanpage-Betreiber muss mit Facebook regeln, wer (Praxis oder Facebook) den Informationspflichten nach Art. 13 DS-GVO nachkommt (Art. 26 DS-GVO). Facebook stellt unter www.facebook.com/legal/terms/page_controller_addendum eine Vereinbarung zur gemeinsamen Verantwortlichkeit zur Verfügung. Ob diese Vereinbarung den Auslegungsmaßstäben der Aufsichtsbehörden genügen wird, kann an dieser Stelle nicht abschließend dargestellt werden. Als „Minimum“ muss man auf dieser Grundlage arbeiten. Es ist Zahnärzten mit Facebook-Seite, Instagramm, Twitter usw. aber unbedingt zu empfehlen, auf die eigene Datenschutzerklärung hinzuweisen. |
Angestellte dürfen bei Verdacht per Video überwacht werden
Wichtige Aspekte zur arbeitsrechtlichen Überwachung von Beschäftigten zeigen das Landesarbeitsgericht (LArbG) Berlin-Brandenburg (Urteil vom 16.08.2018, Az. 10 Sa 469/18, zum Betrug durch einen Busfahrer) und das Bundesarbeitsgericht (BAG, Urteil vom 23.08.2018, Az. 2 AZR 133/18, zum Diebstahl von Waren durch eine Angestellte) auf. Relevant sind diese Urteile für eine Zahnarztpraxis dort, wo Beschäftigte wegen des Verdachts einer Straftat gegen den Praxisinhaber überwacht werden sollen. Z. B. wenn es um die unzulässige kostenlose Prophylaxe-Behandlung von Freunden durch Angestellte oder um die illegale Abrechnung von Privatbehandlungen auf eigenen Namen oder um den Diebstahl von Wertsachen der Patienten geht.
Nach § 26 Abs. 1 S. 2 Bundes-Datenschutzgesetz (BDSG) dürfen zur Aufdeckung von Straftaten personenbezogene Daten von Beschäftigten nur unter den folgenden Voraussetzungen verarbeitet werden:
- Zu dokumentierende tatsächliche Anhaltspunkte begründen den Verdacht, dass die betroffene Person im Beschäftigungsverhältnis eine Straftat begangen hat.
- Die Verarbeitung ist zur Aufdeckung erforderlich.
- Das schutzwürdige Interesse der oder des Beschäftigten an dem Ausschluss der Verarbeitung überwiegt nicht, insbesondere sind Art und Ausmaß im Hinblick auf den Anlass nicht unverhältnismäßig.
PRAXISTIPP | Zum verhältnismäßigen Einsatz einer Überwachung unterstreicht das LArbG, dass eine verdeckte Ermittlung „ins Blaue hinein“, ob sich ein Arbeitnehmer pflichtwidrig verhält, unzulässig wäre. Der Verdacht muss auf konkreten Tatsachen beruhen. Insofern reicht aber eine Kundenbeschwerde, die das Fehlverhalten exakt umreißt und mit einem Reputationsverlust verbunden ist. |
Nach einer zulässigen Überwachung schließt sich die Folgefrage an, wie lange solche Videoaufzeichnungen aufbewahrt und damit verwertet werden dürfen.
MERKE | Nach dem BAG ist die Speicherung von Bildsequenzen aus einer zulässigen offenen Videoüberwachung, die vorsätzliche Handlungen eines Arbeitnehmers zulasten des Eigentums des Arbeitgebers zeigen, nicht durch bloßen Zeitablauf unverhältnismäßig, solange die Rechtsverfolgung durch den Arbeitgeber materiell-rechtlich möglich ist. Unter diesen Voraussetzungen muss ein Zahnarzt Videoaufzeichnungen nicht löschen, sondern darf in einem Arbeitsgerichtsprozess den darauf wahrgenommenen Inhalt vortragen und unter Beweis stellen. |
DS-GVO-Verstöße auf der Praxis-Website werden abgemahnt
Ob Verstöße einer Praxis-Website gegen Datenschutzbestimmungen wettbewerbsrechtlich abgemahnt werden können oder nicht, wird zurzeit kontrovers diskutiert (siehe auch ZP 10/2018, Seite 4). Das Landgericht (LG) Würzburg hat die Abmahnfähigkeit jedenfalls bejaht (Beschluss vom 13.09.2018, Az. 11 O 11741/18 UWG). Die Richter gaben einer einstweiligen Verfügung gegen eine Website statt, die im Impressum eine 7-zeilige Datenschutzerklärung ohne Angaben zum Verantwortlichen, zur Datenverarbeitung, zur Datenweitergabe, zu Cookies oder zu Analysetools enthielt. Ebenso hat das hanseatische Oberlandesgericht Hamburg entschieden (OLG Hamburg, Urteil vom 25.10.2018, Az. 3 U 66/17). In dem Fall stritten zwei Pharmaunternehmen um die Rechtmäßigkeit der Weitergabe von Patientendaten bei der Bestellung von Therapiallergenen.
PRAXISTIPP | Der Beschluss des LG Würzburg sollte Anlass sein, die Datenschutzerklärung auf der eigenen Website (durch den betrieblichen oder externen Datenschutzbeauftragten) zu überprüfen. Es ist möglich, dass andere Gerichte die wettbewerbsrechtliche Abmahnfähigkeit von Datenschutzverstößen verneinen (so z. B. LG Bochum, Urteil vom 07.08.2018, Az. I-12 O 85/18). Daher sollte jedenfalls bei einer Abmahnung die Abgabe einer Unterlassungserklärung überdacht und nur unter Vorbehalt abgegeben werden (siehe auch ZP 08/2018, Seite 3). |
Patient muss in Honorarabtretung einwilligen
Das Amtsgericht Charlottenburg erläutert die vielen Anforderungen, die der Zahnarzt bei der Abtretung einer Honorarforderung an Abrechnungsunternehmen zu Abrechnungszwecken berücksichtigen muss ‒ einschließlich des neuen Datenschutzrechts (Urteil vom 06.11.2018, Az. 208 C 43/18). Festzuhalten ist: Für die Rechtswirksamkeit seiner Formulare zur Abtretung muss der Zahnarzt die Rechte von Patienten bei der Einbeziehung Allgemeiner Geschäftsbedingungen (§§ 305 ff. Bürgerliches Gesetzbuch), das Gebührenrecht (GOZ) und die Schweigepflichtentbindung durch den Patienten bzw. eine wirksame datenschutzrechtliche Einwilligung beachten (zur Einwilligung: ZP 10/2018, Seite 8). Fehlt es daran, verstößt der Zahnarzt gegen § 203 Strafgesetzbuch (Verletzung von Privatgeheimnissen) und Art. 6 Abs. 1 lit. a) DS-GVO (Einwilligung).